BitLocker グループ ポリシー設定

適用対象:

  • Windows 10、Windows 11、Windows Server 2019、Windows Server 2016、Windows 8.1、Windows Server 2012 R2

IT 担当者向けのこの記事では、BitLocker ドライブ暗号化の管理に使用される各グループ ポリシー設定の機能、場所、および効果について説明します。

ユーザーが Windows コントロール パネルから実行できるドライブ暗号化タスクを制御したり、他の構成オプションを変更したりするには、グループ ポリシー管理用テンプレートまたはローカル コンピューター ポリシー設定を使用できます。 これらのポリシー設定を構成する方法は、BitLocker の実装方法と、許可されるユーザー操作のレベルによって異なります。

注意

個別のグループ ポリシー設定のセットでは、トラステッド プラットフォーム モジュール (TPM) の使用がサポートされています。 これらの設定の詳細については、「トラステッド プラットフォーム モジュールのグループ ポリシー設定」を参照してください。

BitLocker グループ ポリシー設定には、ローカル グループ ポリシー エディターと、コンピューター構成\管理テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化の下にあるグループ ポリシー管理コンソール (GPMC) を使用してアクセスできます。 BitLocker グループ ポリシー設定のほとんどは、BitLocker が最初にドライブに対してオンになっているときに適用されます。 コンピューターが既存のグループ ポリシー設定に準拠していない場合、コンピューターが準拠状態になるまで BitLocker をオンまたは変更できない場合があります。 ドライブがグループ ポリシー設定に準拠していない場合 (たとえば、組織内の最初の BitLocker 展開後にグループ ポリシー設定が変更され、その設定が以前に暗号化されたドライブに適用された場合)、そのドライブの BitLocker 構成に変更を加える必要はありません。ただし、この設定をコンプライアンスに移行する変更を除きます。

ドライブを準拠させるために複数の変更が必要な場合は、BitLocker 保護を中断し、必要な変更を加えてから保護を再開する必要があります。 この状況は、たとえば、リムーバブル ドライブが最初にパスワードでロック解除されるように構成され、パスワードを許可しないようにグループ ポリシー設定が変更され、スマート カードが必要な場合などに発生する可能性があります。 このような場合は、 Manage-bde コマンド ライン ツールを使用して BitLocker 保護を中断し、パスワードロック解除方法を削除し、スマート カード メソッドを追加する必要があります。 これが完了すると、BitLocker はグループ ポリシー設定に準拠し、ドライブの BitLocker 保護を再開できます。

BitLocker グループ ポリシー設定

注意

BitLocker の有効化に関連する Active Directory 構成の詳細については、BitLocker の MDT の設定に関するページを参照してください。

次のセクションでは、使用状況別に整理された BitLocker グループ ポリシー設定の包括的な一覧を示します。 BitLocker グループ ポリシー設定には、特定のドライブの種類 (オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ ドライブ) の設定と、すべてのドライブに適用される設定が含まれます。

次のポリシー設定を使用して、BitLocker で保護されたドライブのロックを解除する方法を決定できます。

次のポリシー設定は、ユーザーがドライブにアクセスする方法と、コンピューターで BitLocker を使用する方法を制御するために使用されます。

次のポリシー設定は、BitLocker で使用される暗号化方法と暗号化の種類を決定します。

次のポリシー設定では、認証方法が失敗した場合や使用できない場合に BitLocker で保護されたドライブへのアクセスを復元するために使用できる回復方法を定義します。

次のポリシーは、組織のカスタマイズされた展開シナリオをサポートするために使用されます。

セキュア ブートと保護された DMA ポートを持つデバイスがプレブート PIN からオプトアウトすることを許可する

 
ポリシーの説明 このポリシー設定を使用すると、最新のスタンバイや HSTI をサポートするデバイスなど、より新しく、より安全なデバイスに対する TPM のみの保護を許可し、古いデバイスで PIN を必要とすることができます。
導入 Windows 10、バージョン 1703、またはWindows 11
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 この設定は、準拠しているハードウェアのスタートアップ 時に追加の認証が必要なポリシーの [TPM でスタートアップ PIN を要求する] オプションよりも優先されます。
有効になっている場合 モダン スタンバイデバイスと HSTI 準拠デバイスのユーザーは、プレブート認証なしで BitLocker を有効にすることができます。
無効または未構成の場合 スタートアップ 時に追加の認証を要求するポリシーのオプションが適用されます。

リファレンス

起動前の認証オプション [スタートアップ 時に追加の認証を要求する] ポリシーの TPM でスタートアップ PIN を要求するオプションは、多くの場合、モダン スタンバイをサポートしていない古いデバイスのセキュリティを確保するために有効になっています。 しかし、視覚障穣のあるユーザーは、PIN を入力するタイミングを知る聞こえる方法がありません。 この設定により、セキュリティで保護されたハードウェア上の PIN が必要なポリシーの例外が有効になります。

起動時にネットワークロック解除を許可する

このポリシーは、BitLocker のネットワークロック解除機能の動作の一部を制御します。 このポリシーは、BitLocker を実行しているクライアントが暗号化中に必要なネットワーク キー保護機能を作成できるため、ネットワーク上で BitLocker ネットワークロック解除を有効にするために必要です。

このポリシーは、BitLocker ドライブ暗号化ネットワークロック解除証明書セキュリティ ポリシー (ローカル コンピューター ポリシーの 公開キー ポリシー フォルダーにあります) と共に使用され、信頼されたネットワークに接続されているシステムがネットワーク ロック解除機能を適切に利用できるようにします。

 
ポリシーの説明 このポリシー設定を使用すると、信頼されたローカル エリア ネットワークに接続され、ドメインに参加している BitLocker で保護されたコンピューターが TPM 対応コンピューターでネットワーク キー保護機能を作成して使用して、コンピューターの起動時にオペレーティング システム ドライブのロックを自動的に解除できるかどうかを制御できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker ネットワーク ロック解除証明書を使用して構成されたクライアントは、ネットワーク キー保護機能を作成して使用できます。
無効または未構成の場合 クライアントがネットワーク キー保護機能を作成して使用できない

リファレンス

ネットワーク キー保護機能を使用してコンピューターのロックを解除するには、BitLocker ドライブ暗号化ネットワーク ロック解除をホストするコンピューターとサーバーに、ネットワーク ロック解除証明書を使用してプロビジョニングする必要があります。 ネットワーク ロック解除証明書は、ネットワーク キー保護機能を作成し、サーバーとの情報交換を保護してコンピューターのロックを解除するために使用されます。 ドメイン コントローラーのコンピューター構成\Windows 設定\セキュリティ設定\公開キー ポリシー\BitLocker ドライブ暗号化ネットワークロック解除証明書をドメイン コントローラーで設定するグループ ポリシーを使用して、この証明書を組織内のコンピューターに配布できます。 このロック解除方法は、コンピューター上の TPM を使用するため、TPM を持たないコンピューターはネットワーク ロック解除を使用して自動的にロック解除するネットワーク キー保護機能を作成できません。

注意

信頼性とセキュリティを確保するために、コンピューターには TPM スタートアップ PIN も必要です。これは、コンピューターが有線ネットワークから切断されている場合や、起動時にドメイン コントローラーに接続できない場合に使用できます。

ネットワーク ロック解除機能の詳細については、「 BitLocker: ネットワーク ロック解除を有効にする方法」を参照してください。

起動時に追加の認証を要求する

このポリシー設定は、オペレーティング システム ドライブで使用できるロック解除オプションを制御するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、コンピューターが起動するたびに BitLocker に追加の認証が必要かどうか、およびトラステッド プラットフォーム モジュール (TPM) で BitLocker を使用しているかどうかを構成できます。 このポリシー設定は、BitLocker を有効にするときに適用されます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 1 つの認証方法が必要な場合、他の方法は許可できません。 BitLocker のスタートアップ キーまたは TPM スタートアップ キーと PIN を使用する BitLocker の使用は、 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否 するポリシー設定が有効になっている場合は禁止する必要があります。
有効になっている場合 ユーザーは、BitLocker セットアップ ウィザードで高度なスタートアップ オプションを構成できます。
無効または未構成の場合 ユーザーは、TPM を使用するコンピューター上の基本的なオプションのみを構成できます。

起動時に必要な追加の認証オプションは 1 つだけです。それ以外の場合は、ポリシー エラーが発生します。

リファレンス

TPM のないコンピューターで BitLocker を使用する場合は、[ 互換性のある TPM なしで BitLocker を許可する] を選択します。 このモードでは、起動時にパスワードまたは USB ドライブが必要です。 USB ドライブには、ドライブの暗号化に使用されるスタートアップ キーが格納されます。 USB ドライブが挿入されると、スタートアップ キーが認証され、オペレーティング システム ドライブにアクセスできます。 USB ドライブが紛失または使用できない場合は、ドライブにアクセスするために BitLocker の回復が必要です。

TPM が互換性のあるコンピューターでは、起動時に追加の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターを起動すると、次の情報を使用できます。

  • TPM のみ
  • スタートアップ キーを含む USB フラッシュ ドライブの挿入
  • 4 桁から 20 桁の個人識別番号 (PIN) の入力
  • PIN と USB フラッシュ ドライブの組み合わせ

TPM 対応のコンピューターまたはデバイスには、次の 4 つのオプションがあります。

  • TPM スタートアップを構成する

    • TPM を許可する
    • TPM を要求する
    • TPM を許可しない
  • TPM スタートアップ PIN を構成する

    • TPM でスタートアップ PIN を許可する
    • TPM を使用してスタートアップ PIN を要求する
    • TPM でスタートアップ PIN を許可しない
  • TPM スタートアップ キーを構成する

    • TPM でスタートアップ キーを許可する
    • TPM を使用してスタートアップ キーを必要とする
    • TPM でスタートアップ キーを許可しない
  • TPM スタートアップ キーと PIN を構成する

    • PIN で TPM スタートアップ キーを許可する
    • TPM でスタートアップ キーと PIN を必要とする
    • PIN で TPM スタートアップ キーを許可しない

スタートアップ用に拡張 PIN を許可する

このポリシー設定では、PIN を含むロック解除方法を使用する場合に、拡張 PIN を使用できます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 設定されているすべての新しい BitLocker スタートアップ PIN は、拡張 PIN になります。 標準のスタートアップ PIN を使用して保護された既存のドライブは影響を受けません。
無効または未構成の場合 拡張 PIN は使用されません。

リファレンス

拡張されたスタートアップ PIN では、文字 (大文字と小文字、記号、数字、スペースを含む) を使用できます。 このポリシー設定は、BitLocker を有効にするときに適用されます。

重要

すべてのコンピューターで、プレブート環境で拡張 PIN 文字がサポートされているわけではありません。 BitLocker のセットアップ中にシステム チェックを実行して、強化された PIN 文字を使用できることを確認することを強くお勧めします。

スタートアップ用の最小 PIN 長を構成する

このポリシー設定は、PIN を含むロック解除方法を使用する場合に、PIN の最小長を設定するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、TPM スタートアップ PIN の最小長を構成できます。 このポリシー設定は、BitLocker を有効にするときに適用されます。 スタートアップ PIN の最小長は 4 桁で、最大長は 20 桁です。 既定では、PIN の最小長は 6 です。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 ユーザーによって設定されたスタートアップ PIN には、4 ~ 20 桁の最小長を指定する必要があります。
無効または未構成の場合 ユーザーは、6 ~ 20 桁の任意の長さのスタートアップ PIN を構成できます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。 スタートアップ PIN の最小長は 4 桁で、最大長は 20 桁である必要があります。

もともと、BitLocker では PIN に 4 から 20 文字の長さが許可されています。 Windows Helloにはログオン用の独自の PIN があり、長さは 4 ~ 127 文字です。 BitLocker とWindows Helloの両方で TPM を使用して、PIN ブルートフォース攻撃を防ぎます。

TPM は、ディクショナリ攻撃防止パラメーター (ロックアウトしきい値とロックアウト期間) を使用して、TPM がロックアウトされる前に許可される失敗した承認試行の数と、別の試行を行う前に経過する必要がある時間を制御するように構成できます。

ディクショナリ攻撃防止パラメーターは、セキュリティ ニーズと使いやすさのバランスを取る方法を提供します。 たとえば、TPM + PIN 構成で BitLocker を使用する場合、PIN の推測数は時間の経過と共に制限されます。 この例の TPM 2.0 は、32 PIN の推測をすぐに許可し、さらに 2 時間ごとに 1 回だけ推測できるように構成できます。 合計で、1 年あたり最大約 4415 の推測が行われます。 PIN が 4 桁の場合、9999 の可能なすべての PIN の組み合わせが 2 年以上で試行される可能性があります。

PIN の長さを長くするには、攻撃者にとってより多くの推測が必要です。 その場合、各推測間のロックアウト期間を短縮して、正当なユーザーが同様のレベルの保護を維持しながら、失敗した試行をより早く再試行できるようにします。

Windows 10、バージョン 1703、またはWindows 11以降、BitLocker PIN の最小長は 6 文字に増やされ、TPM 2.0 を使用する他の Windows 機能 (Windows Helloを含む) に合わせて調整されました。 組織が 2017 年 10 月のバージョン 1703 Windows 10、バージョン 1709、Windows 10 以降、または累積的な更新プログラムがインストールWindows 11移行を支援するために、BitLocker PIN の長さは既定で 6 文字ですが、4 文字に減らすことができます。 PIN の最小長を既定値の 6 文字から減らすと、TPM 2.0 ロックアウト期間が延長されます。

このコンピューターがロックされているときに新しい DMA デバイスを無効にする

このポリシー設定を使用すると、ユーザーが Windows にサインインするまで、すべてのホット プラグ可能 PCI ポートのダイレクト メモリ アクセス (DMA) をブロックできます。

 
ポリシーの説明 この設定は、外部 PCI ベースのデバイスを使用して BitLocker キーにアクセスする攻撃を防ぐのに役立ちます。
導入 Windows 10、バージョン 1703、またはWindows 11
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 なし
有効になっている場合 ユーザーが scree をロックするたびに、ユーザーが再びサインインするまで、DMA はホット プラグ可能な PCI ポートでブロックされます。
無効または未構成の場合 DMA は、ユーザーがサインインしているかどうかに関係なく、デバイスがオンになっている場合、ホット プラグ可能な PCI デバイスで使用できます。

リファレンス

このポリシー設定は、BitLocker またはデバイス暗号化が有効になっている場合にのみ適用されます。 Microsoft セキュリティ ガイダンスのブログで説明されているように、この設定が有効になっている場合、ワイヤレス ネットワーク ドライバーや入力周辺機器やオーディオ周辺機器など、内部の PCI ベースの周辺機器が失敗する可能性があります。 この問題は、 2018 年 4 月の品質更新プログラムで修正されています。

標準ユーザーが PIN またはパスワードを変更できないようにする

このポリシー設定を使用すると、標準ユーザーがオペレーティング システム ドライブを保護するために使用する PIN またはパスワードの変更を許可するかどうかを構成できます。

 
ポリシーの説明 このポリシー設定を使用すると、標準ユーザーがオペレーティング システム ドライブを保護するために使用する PIN またはパスワードの変更を許可するかどうかを構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 標準ユーザーは、BitLocker PIN またはパスワードを変更することはできません。
無効または未構成の場合 標準ユーザーは、BitLocker PIN またはパスワードを変更できます。

リファレンス

PIN またはパスワードを変更するには、ユーザーが現在の PIN またはパスワードを指定できる必要があります。 このポリシー設定は、BitLocker を有効にするときに適用されます。

オペレーティング システム ドライブのパスワードの使用を構成する

このポリシーは、TPM ベース以外のシステムがパスワード保護機能を使用する方法を制御します。 パスワードと共に使用 するには、複雑さの要件ポリシーを満たす必要があります 。このポリシーを使用すると、管理者はパスワード保護機能を使用するためにパスワードの長さと複雑さを要求できます。 既定では、パスワードの長さは 8 文字である必要があります。 複雑さの構成オプションは、クライアントに対するドメイン接続の重要性を決定します。 最も強力なパスワード セキュリティを実現するには、管理者はドメイン接続が必要であるため、[ パスワードの複雑さを要求 する] を選択する必要があります。また、BitLocker パスワードがドメイン サインイン パスワードと同じパスワード複雑さの要件を満たしている必要があります。

 
ポリシーの説明 このポリシー設定では、BitLocker で保護されているオペレーティング システム ドライブのロック解除に使用するパスワードの制約を指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 FIPS 準拠が有効になっている場合は、パスワードを使用できません。


メモ:****システム暗号化: 暗号化、ハッシュ、署名のポリシー設定に FIPS 準拠アルゴリズムを使用します。これは、コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプションで FIPS コンプライアンスを有効にするかどうかを指定します。

有効になっている場合 ユーザーは、定義した要件を満たすパスワードを構成できます。 パスワードの複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
無効または未構成の場合 8 文字の既定の長さの制約はオペレーティング システム ドライブのパスワードに適用され、複雑さのチェックは行われません。

リファレンス

オペレーティング システム ドライブで TPM 以外の保護機能が許可されている場合は、パスワードをプロビジョニングし、パスワードに複雑さの要件を適用し、パスワードの最小長を構成できます。 複雑さの要件設定を有効にするには、グループ ポリシー設定 のパスワードが複雑さの要件を満たす必要があります。これは **、コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー\**にある複雑さの要件も有効にする必要があります。

注意

これらの設定は、ボリュームのロック解除時ではなく、BitLocker を有効にするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

[複雑さを要求する] に設定すると、BitLocker がパスワードの複雑さを検証するために有効になっている場合、ドメイン コントローラーへの接続が必要になります。 [複雑さを許可する] に設定すると、ドメイン コントローラーへの接続で、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さに関係なく受け入れられ、ドライブはそのパスワードを保護機能として使用して暗号化されます。 [複雑さを許可しない] に設定すると、パスワードの複雑さの検証はありません。 パスワードは 8 文字以上にする必要があります。 パスワードの最小長を構成するには、[最小パスワードの長さ] ボックスに必要 文字数を入力します。

このポリシー設定が有効になっている場合は、 オペレーティング システム ドライブのパスワードの複雑さを構成 するオプションを次のように設定できます。

  • パスワードの複雑さを許可する
  • パスワードの複雑さを拒否する
  • パスワードの複雑さを要求する

起動時に追加の認証が必要 (Windows Server 2008 および Windows Vista)

このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューターで使用できるロック解除オプションを制御するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、Windows Vista または Windows Server 2008 を実行しているコンピューターで BitLocker セットアップ ウィザードで、コンピューターが起動するたびに必要な追加の認証方法を設定できるかどうかを制御できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 オペレーティング システム ドライブ (Windows Server 2008 および Windows Vista)
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 追加の認証方法を要求する場合は、他の認証方法を許可できません。
有効になっている場合 BitLocker セットアップ ウィザードには、BitLocker の高度なスタートアップ オプションを構成できるページが表示されます。 TPM の有無にかかわらず、コンピューターの設定オプションをさらに構成できます。
無効または未構成の場合 BitLocker セットアップ ウィザードには、ユーザーが TPM を使用するコンピューターで BitLocker を有効にするための基本的な手順が表示されます。 この基本ウィザードでは、追加のスタートアップ キーやスタートアップ PIN は構成できません。

リファレンス

互換性のある TPM を備えたコンピューターでは、起動時に 2 つの認証方法を使用して、暗号化されたデータに対する保護を強化できます。 コンピューターの起動時に、スタートアップ キーを含む USB ドライブを挿入するようにユーザーに求めることができます。 また、6 ~ 20 桁の長さのスタートアップ PIN を入力するようにユーザーに求めることもできます。

互換性のある TPM がないコンピューターでは、スタートアップ キーを含む USB ドライブが必要です。 TPM を使用しない場合、BitLocker で暗号化されたデータは、この USB ドライブ上にあるキー マテリアルによってのみ保護されます。

TPM 対応のコンピューターまたはデバイスには、次の 2 つのオプションがあります。

  • TPM スタートアップ PIN を構成する

    • TPM でスタートアップ PIN を許可する
    • TPM を使用してスタートアップ PIN を要求する
    • TPM でスタートアップ PIN を許可しない
  • TPM スタートアップ キーを構成する

    • TPM でスタートアップ キーを許可する
    • TPM を使用してスタートアップ キーを必要とする
    • TPM でスタートアップ キーを許可しない

これらのオプションは相互に排他的です。 スタートアップ キーが必要な場合は、スタートアップ PIN を許可しないでください。 スタートアップ PIN が必要な場合は、スタートアップ キーを許可しないでください。 そうしないと、ポリシー エラーが発生します。

TPM 対応コンピューターまたはデバイスの詳細ページを非表示にするには、これらのオプションを [スタートアップ キーとスタートアップ PIN を 許可しない ] に設定します。

固定データ ドライブでのスマート カードの使用を構成する

このポリシー設定は、固定データ ドライブでのスマート カードの使用を要求、許可、または拒否するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、コンピューター上の BitLocker で保護された固定データ ドライブへのユーザー アクセスを認証するためにスマート カードを使用できるかどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ
競合 BitLocker でスマート カードを使用するには、スマート カード証明書のオブジェクト識別子と一致するように 、[コンピューター構成]、[管理用テンプレート]、[BitLocker ドライブ暗号化]、[スマート カード証明書の使用規則コンプライアンス ポリシーの検証] のオブジェクト識別子設定を変更する必要がある場合もあります。
有効になっている場合 スマート カードは、ドライブへのユーザー アクセスを認証するために使用できます。 [ 固定データ ドライブでスマート カードを使用する] チェック ボックスをオンにすると、スマート カード認証を要求できます。
無効にした場合 ユーザーは、スマート カードを使用して BitLocker で保護された固定データ ドライブへのアクセスを認証することはできません。
構成されていない場合 スマート カードは、BitLocker で保護されたドライブへのユーザー アクセスを認証するために使用できます。

リファレンス

注意

これらの設定は、ドライブのロック解除時ではなく、BitLocker を有効にするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能のいずれかを使用してドライブのロックを解除できます。

固定データ ドライブでのパスワードの使用を構成する

このポリシー設定は、固定データ ドライブでのパスワードの使用を要求、許可、または拒否するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker で保護された固定データ ドライブのロックを解除するためにパスワードが必要かどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ
競合 パスワードの複雑さを使用するには、 コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー\パスワードが複雑さの要件を満たす必要があります ポリシー設定も有効にする必要があります。
有効になっている場合 ユーザーは、定義した要件を満たすパスワードを構成できます。 パスワードの使用を要求するには、[ 固定データ ドライブにパスワードを要求する] を選択します。 パスワードに複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
無効にした場合 ユーザーはパスワードを使用できません。
構成されていない場合 パスワードは既定の設定でサポートされています。パスワードの複雑さの要件は含まれず、8 文字しか必要ありません。

リファレンス

[複雑さを要求する] に設定すると、BitLocker が有効になっている場合にパスワードの複雑さを検証するために、ドメイン コントローラーへの接続が必要です。

[複雑さを許可する] に設定すると、ドメイン コントローラーへの接続で、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ただし、ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さに関係なく受け入れられ、ドライブはそのパスワードを保護機能として使用して暗号化されます。

[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は実行されません。

パスワードは 8 文字以上にする必要があります。 パスワードの最小長を構成するには、[最小パスワードの長さ] ボックスに必要 文字数を入力します。

注意

これらの設定は、ドライブのロック解除時ではなく、BitLocker を有効にするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

複雑さの要件設定を有効にするには、コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー\パスワードが複雑さの要件を満たす必要があるグループ ポリシー設定も有効にする必要があります。 このポリシー設定は、コンピューターごとに構成されます。 つまり、ローカル ユーザー アカウントとドメイン ユーザー アカウントに適用されます。 パスワードの複雑さを検証するために使用されるパスワード フィルターはドメイン コントローラー上にあるため、ドメイン アクセス用に認証されていないため、ローカル ユーザー アカウントはパスワード フィルターにアクセスできません。 このポリシー設定が有効になっている場合、ローカル ユーザー アカウントでサインインし、ドライブの暗号化または既存の BitLocker で保護されたドライブのパスワードの変更を試みると、"アクセスが拒否されました" というエラー メッセージが表示されます。 この状況では、パスワード キー保護機能をドライブに追加できません。

このポリシー設定を有効にするには、BitLocker で保護されたドライブにパスワード キー保護機能を追加する前に、ドメインへの接続を確立する必要があります。 リモートで作業し、ドメインに接続できない期間があるユーザーは、BitLocker を有効にしたり、BitLocker で保護されたデータ ドライブでパスワードを変更したりするために、ドメインに接続する時刻をスケジュールできるように、この要件を認識する必要があります。

重要

FIPS コンプライアンスが有効になっている場合は、パスワードを使用できません。 システム暗号化: コンピューター構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション暗号化、ハッシュ、署名のポリシー設定に FIPS 準拠アルゴリズムを使用して、FIPS コンプライアンスを有効にするかどうかを指定します。

リムーバブル データ ドライブでのスマート カードの使用を構成する

このポリシー設定は、リムーバブル データ ドライブでのスマート カードの使用を要求、許可、または拒否するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、コンピューター上の BitLocker で保護されたリムーバブル データ ドライブへのユーザー アクセスを認証するためにスマート カードを使用できるかどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 BitLocker でスマート カードを使用するには、スマート カード証明書のオブジェクト識別子と一致するように 、[コンピューター構成]、[管理用テンプレート]、[BitLocker ドライブ暗号化]、[スマート カード証明書の使用規則コンプライアンス ポリシーの検証] のオブジェクト識別子設定を変更する必要がある場合もあります。
有効になっている場合 スマート カードは、ドライブへのユーザー アクセスを認証するために使用できます。 [ リムーバブル データ ドライブでスマート カードを使用する必要がある ] チェック ボックスをオンにすると、スマート カード認証を要求できます。
無効または未構成の場合 ユーザーは、スマート カードを使用して BitLocker で保護されたリムーバブル データ ドライブへのアクセスを認証することはできません。
構成されていない場合 スマート カードは、BitLocker で保護されたリムーバブル データ ドライブへのユーザー アクセスを認証するために使用できます。

リファレンス

注意

これらの設定は、ドライブのロック解除時ではなく、BitLocker を有効にするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

リムーバブル データ ドライブでパスワードの使用を構成する

このポリシー設定は、リムーバブル データ ドライブでのパスワードの使用を要求、許可、または拒否するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker で保護されたリムーバブル データ ドライブのロックを解除するためにパスワードが必要かどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 パスワードの複雑さを使用するには、 パスワードが複雑さの要件ポリシー設定を満たしている必要があります 。これは、 コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー も有効にする必要があります。
有効になっている場合 ユーザーは、定義した要件を満たすパスワードを構成できます。 パスワードの使用を要求するには、[ リムーバブル データ ドライブにパスワードを要求する] を選択します。 パスワードに複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
無効にした場合 ユーザーはパスワードを使用できません。
構成されていない場合 パスワードは既定の設定でサポートされています。パスワードの複雑さの要件は含まれず、8 文字しか必要ありません。

リファレンス

パスワードの使用を許可する場合は、パスワードの使用を要求し、複雑さの要件を適用し、最小長を構成できます。 複雑さの要件設定を有効にするには、グループ ポリシー設定パスワードが 複雑さの要件を満たす必要があります。これは 、コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシーも有効にする必要があります。

注意

これらの設定は、ドライブのロック解除時ではなく、BitLocker を有効にするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

パスワードは 8 文字以上にする必要があります。 パスワードの最小長を構成するには、[最小パスワードの長 ] ボックスに必要な文字数を入力します。

[複雑さを要求する] に設定すると、パスワードの複雑さを検証するために BitLocker が有効になっている場合は、ドメイン コントローラーへの接続が必要です。

[複雑さを許可する] に設定すると、ドメイン コントローラーへの接続が試行され、複雑さがポリシーによって設定された規則に準拠していることを検証します。 ただし、ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さに関係なく引き続き受け入れられ、ドライブはそのパスワードを保護機能として使用して暗号化されます。

[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。

注意

FIPS コンプライアンスが有効になっている場合は、パスワードを使用できません。 システム暗号化: コンピューター構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション暗号化、ハッシュ、署名のポリシー設定に FIPS 準拠アルゴリズムを使用して、FIPS コンプライアンスを有効にするかどうかを指定します。

この設定の詳細については、「 システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する」を参照してください。

スマート カード証明書の使用規則のコンプライアンスを検証する

このポリシー設定は、BitLocker で使用する証明書を決定するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、スマート カード証明書のオブジェクト識別子を BitLocker で保護されたドライブに関連付けることができます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブとリムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 なし
有効になっている場合 [オブジェクト識別子] 設定で指定する オブジェクト識別子 は、スマート カード証明書のオブジェクト識別子と一致している必要があります。
無効または未構成の場合 既定のオブジェクト識別子が使用されます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。

オブジェクト識別子は、証明書の拡張キー使用法 (EKU) で指定されます。 BitLocker は、証明書内のオブジェクト識別子と、このポリシー設定で定義されているオブジェクト識別子を照合することで、BitLocker で保護されたドライブに対してユーザー証明書を認証するために使用できる証明書を識別できます。

既定のオブジェクト識別子は 1.3.6.1.4.1.311.67.1.1 です。

注意

BitLocker では、証明書に EKU 属性が必要ありません。ただし、証明書用に構成されている場合は、BitLocker 用に構成されたオブジェクト識別子と一致するオブジェクト識別子に設定する必要があります。

スレートでプレブート キーボード入力を必要とする BitLocker 認証の使用を有効にする

スレートで起動前のキーボード入力を必要とする BitLocker 認証の使用を有効にする

 
ポリシーの説明 このポリシー設定を使用すると、プラットフォームがプレブート入力機能の欠如を示している場合でも、ユーザーがプレブート環境からのユーザー入力を必要とする認証オプションを有効にすることができます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 デバイスには、プレブート入力の代替手段 (USB キーボードの接続など) が必要です。
無効または未構成の場合 BitLocker 回復パスワードの入力をサポートするには、タブレットで Windows 回復環境を有効にする必要があります。

リファレンス

Windows タッチ キーボード (タブレットで使用するなど) は、BitLocker で PIN やパスワードなどの追加情報が必要なプレブート環境では使用できません。

管理者は、USB キーボードの接続など、プレブート入力の代替手段を備えていると確認されたデバイスに対してのみ、このポリシーを有効にすることをお勧めします。

Windows 回復環境が有効になっていて、このポリシーが有効になっていない場合、Windows タッチ キーボードを使用するデバイスで BitLocker を有効にすることはできません。

このポリシー設定を有効にしない場合は、[ スタートアップ 時に追加の認証を要求 する] ポリシーで次のオプションを使用できない可能性があります。

  • TPM スタートアップ PIN の構成: 必須と許可
  • TPM スタートアップ キーと PIN の構成: 必須と許可
  • オペレーティング システム ドライブのパスワードの使用を構成する

BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する

このポリシー設定は、書き込みアクセスを許可する前に固定ドライブの暗号化を要求するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、固定データ ドライブをコンピューターに書き込み可能にするために BitLocker 保護が必要かどうかを設定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ
競合 競合の説明については、「リファレンス」セクションを参照してください。
有効になっている場合 BitLocker で保護されていない固定データ ドライブはすべて、読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権を使用してマウントされます。
無効または未構成の場合 コンピューター上のすべての固定データ ドライブは、読み取りおよび書き込みアクセスでマウントされます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。

競合に関する考慮事項は次のとおりです。

  1. このポリシー設定を有効にすると、暗号化されていない固定データ ドライブにデータを保存しようとすると、"アクセス拒否" エラー メッセージが表示されます。 その他の競合については、「リファレンス」セクションを参照してください。

  2. このポリシー設定が有効になっているときにコンピューターでBdeHdCfg.exeを実行すると、次の問題が発生する可能性があります。

    • ドライブを縮小してシステム ドライブを作成しようとすると、ドライブ サイズが正常に縮小され、生のパーティションが作成されます。 ただし、未加工のパーティションは書式設定されません。 次のエラー メッセージが表示されます。"新しいアクティブ なドライブを書式設定できません。 BitLocker 用にドライブを手動で準備する必要がある場合があります。
    • 未割り当て領域を使用してシステム ドライブを作成しようとすると、生のパーティションが作成されます。 ただし、未加工のパーティションは書式設定されません。 次のエラー メッセージが表示されます。"新しいアクティブ なドライブを書式設定できません。 BitLocker 用にドライブを手動で準備する必要がある場合があります。
    • 既存のドライブをシステム ドライブにマージしようとすると、必要なブート ファイルをターゲット ドライブにコピーしてシステム ドライブを作成できません。 次のエラー メッセージが表示されます。"BitLocker セットアップでブート ファイルをコピーできませんでした。 BitLocker 用にドライブを手動で準備する必要がある場合があります。
  3. このポリシー設定が適用されている場合、ドライブが保護されているため、ハード ドライブを再パーティション化できません。 組織内のコンピューターを以前のバージョンの Windows からアップグレードしていて、それらのコンピューターが 1 つのパーティションで構成されている場合は、このポリシー設定をコンピューターに適用する前に、必要な BitLocker システム パーティションを作成する必要があります。

BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

このポリシー設定は、書き込みアクセスを許可する前にリムーバブル ドライブを暗号化することを要求し、別の組織で構成された BitLocker で保護されたリムーバブル ドライブを書き込みアクセスで開くことができるかどうかを制御するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、コンピューターがリムーバブル データ ドライブにデータを書き込むことができるのに BitLocker 保護が必要かどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 競合の説明については、「リファレンス」セクションを参照してください。
有効になっている場合 BitLocker で保護されていないリムーバブル データ ドライブはすべて、読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権を使用してマウントされます。
無効または未構成の場合 コンピューター上のすべてのリムーバブル データ ドライブは、読み取りおよび書き込みアクセスでマウントされます。

リファレンス

[別の組織で構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合、コンピューターの識別フィールドと一致する識別フィールドを持つドライブにのみ書き込みアクセス権が付与されます。 リムーバブル データ ドライブにアクセスすると、有効な識別フィールドと許可された識別フィールドがチェックされます。 これらのフィールドは、[組織の 一意の識別子を指定する ] ポリシー設定によって定義されます。

注意

このポリシー設定は、[ ユーザー構成]\[管理用テンプレート]\[システム]\[リムーバブル ストレージ アクセス] のポリシー設定でオーバーライドできます。 [リムーバブル ディスク: 書き込みアクセスを拒否する] ポリシー設定が有効になっている場合、このポリシー設定は無視されます。

競合に関する考慮事項は次のとおりです。

  1. BitLocker ポリシー設定で 保護されていないリムーバブル ドライブへの書き込みアクセスを拒否 する場合は、TPM とスタートアップ キー、または TPM に PIN とスタートアップ キーを加えた BitLocker の使用を禁止する必要があります。
  2. BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。
  3. 別の組織で構成されたドライブへの書き込みアクセスを拒否する場合 は、[組織の一意の識別子を指定 する] ポリシー設定を有効にする必要があります。

リムーバブル ドライブでの BitLocker の使用を制御する

このポリシー設定は、ユーザーがリムーバブル データ ドライブで BitLocker をオンまたはオフにできないようにするために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、リムーバブル データ ドライブでの BitLocker の使用を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 なし
有効になっている場合 ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択できます。
無効にした場合 ユーザーは、リムーバブル データ ドライブで BitLocker を使用できません。
構成されていない場合 ユーザーは、リムーバブル データ ドライブで BitLocker を使用できます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。

BitLocker 保護の一時停止の詳細については、 BitLocker の基本的な展開に関するページを参照してください。

ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択するためのオプションは次のとおりです。

  • ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用できるようにする ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにします。
  • ユーザーがリムーバブル データ ドライブで BitLocker を中断および復号化できるようにする ユーザーがドライブから BitLocker を削除したり、メンテナンスの実行中に暗号化を中断したりすることができます。

ドライブの暗号化方法と暗号強度を選択する

このポリシー設定は、暗号化方法と暗号強度を制御するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、ドライブの暗号化方法と強度を制御できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 なし
有効になっている場合 BitLocker がドライブの暗号化に使用する暗号化アルゴリズムとキー暗号強度を選択できます。
無効または未構成の場合 Windows 10、バージョン 1511、またはWindows 11以降、BitLocker では、XTS-AES 128 ビットの既定の暗号化方法またはセットアップ スクリプトで指定された暗号化方法が使用されます。

リファレンス

このポリシーの値は、BitLocker が暗号化に使用する暗号の強度を決定します。 企業は、セキュリティを強化するために暗号化レベルを制御したい場合があります (AES-256 は AES-128 より強力です)。

この設定を有効にした場合は、固定データ ドライブ、オペレーティング システム ドライブ、リムーバブル データ ドライブの暗号化アルゴリズムとキー暗号強度を個別に構成できます。 固定ドライブとオペレーティング システム ドライブの場合は、XTS-AES アルゴリズムを使用することをお勧めします。 リムーバブル ドライブの場合は、AES-CBC 128 ビットまたは AES-CBC 256 ビットを使用する必要があります。このドライブは、Windows 10、バージョン 1511 以降、またはWindows 11を実行していない他のデバイスで使用されます。

ドライブが既に暗号化されているか、暗号化が進行中の場合、暗号化方法を変更しても効果はありません。 このような場合、このポリシー設定は無視されます。

警告

このポリシーは、暗号化されたドライブには適用されません。 暗号化されたドライブは、パーティション分割中にドライブによって設定される独自のアルゴリズムを使用します。

このポリシー設定が無効になっているか、構成されていない場合、BitLocker は XTS-AES 128 ビットの既定の暗号化方法またはセットアップ スクリプトで指定された暗号化方法を使用します。

固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

このポリシーは、BitLocker が固定データ ボリュームとして使用されるときに、暗号化されたドライブが搭載されているシステムに対してどのように対応するかを制御します。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker による固定データ ドライブでのハードウェア ベースの暗号化の使用を管理し、BitLocker がハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ
競合 なし
有効になっている場合 ハードウェア ベースの暗号化をサポートしていないコンピューターで、ハードウェア ベースの暗号化の代わりに BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定することもできます。
無効にした場合 BitLocker では、固定データ ドライブでハードウェア ベースの暗号化を使用することはできません。また、BitLocker ソフトウェア ベースの暗号化は、ドライブが暗号化されるときに既定で使用されます。
構成されていない場合 BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。

リファレンス

注意

ドライブ暗号化の選択方法と暗号強度ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。 この設定の ハードウェア ベースの暗号化オプションで許可される暗号化アルゴリズムと暗号スイートを制限 すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。 ドライブに設定されているアルゴリズムを使用できない場合、BitLocker ではハードウェア ベースの暗号化の使用が無効になります。 暗号化アルゴリズムは、次に示すオブジェクト識別子 (OID) によって指定されます。

  • 暗号化ブロック チェーン (CBC) モード OID の高度な暗号化標準 (AES) 128: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42

オペレーティング システム ドライブに対するハードウェア ベースの暗号化の使用を構成する

このポリシーは、暗号化されたドライブがオペレーティング システム ドライブとして使用される場合の BitLocker の動作を制御します。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker によるオペレーティング システム ドライブでのハードウェア ベースの暗号化の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 ハードウェア ベースの暗号化をサポートしていないコンピューターで、ハードウェア ベースの暗号化の代わりに BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定することもできます。
無効にした場合 BitLocker ではオペレーティング システム ドライブでハードウェア ベースの暗号化を使用できず、ドライブが暗号化されている場合は既定で BitLocker ソフトウェア ベースの暗号化が使用されます。
構成されていない場合 BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。

リファレンス

ハードウェア ベースの暗号化を使用できない場合は、代わりに BitLocker ソフトウェア ベースの暗号化が使用されます。

注意

ドライブ暗号化の選択方法と暗号強度ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。 この設定の ハードウェア ベースの暗号化オプションで許可される暗号化アルゴリズムと暗号スイートを制限 すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。 ドライブに設定されているアルゴリズムを使用できない場合、BitLocker ではハードウェア ベースの暗号化の使用が無効になります。 暗号化アルゴリズムは、次に示すオブジェクト識別子 (OID) によって指定されます。

  • 暗号化ブロック チェーン (CBC) モード OID の高度な暗号化標準 (AES) 128: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42

リムーバブル データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

このポリシーは、BitLocker がリムーバブル データ ドライブとして使用されるときに、暗号化されたドライブに対してどのように反応するかを制御します。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。

 
ポリシーの説明 このポリシー設定を使用すると、リムーバブル データ ドライブに対するハードウェア ベースの暗号化の BitLocker の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 なし
有効になっている場合 ハードウェア ベースの暗号化をサポートしていないコンピューターで、ハードウェア ベースの暗号化の代わりに BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定することもできます。
無効にした場合 BitLocker ではリムーバブル データ ドライブでハードウェア ベースの暗号化を使用できず、ドライブが暗号化されている場合は既定で BitLocker ソフトウェア ベースの暗号化が使用されます。
構成されていない場合 BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。

リファレンス

ハードウェア ベースの暗号化を使用できない場合は、代わりに BitLocker ソフトウェア ベースの暗号化が使用されます。

注意

ドライブ暗号化の選択方法と暗号強度ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。 この設定の ハードウェア ベースの暗号化オプションで許可される暗号化アルゴリズムと暗号スイートを制限 すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。 ドライブに設定されているアルゴリズムを使用できない場合、BitLocker ではハードウェア ベースの暗号化の使用が無効になります。 暗号化アルゴリズムは、次に示すオブジェクト識別子 (OID) によって指定されます。

  • 暗号化ブロック チェーン (CBC) モード OID の高度な暗号化標準 (AES) 128: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42

固定データ ドライブにドライブ暗号化の種類を適用する

このポリシーは、固定データ ドライブで使用済み領域のみの暗号化と完全暗号化のどちらを使用するかを制御します。 このポリシーを設定すると、BitLocker セットアップ ウィザードで暗号化オプション ページがスキップされ、暗号化の選択がユーザーに表示されなくなります。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker で使用される暗号化の種類を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ
競合 なし
有効になっている場合 このポリシーは、BitLocker がドライブの暗号化に使用する暗号化の種類を定義し、暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
無効または未構成の場合 BitLocker セットアップ ウィザードでは、BitLocker を有効にする前に、暗号化の種類を選択するようにユーザーに求められます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。 ドライブが既に暗号化されているか、暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 BitLocker がオンになっているときにドライブ全体が暗号化されるようにするには、[完全暗号化] を選択します。 BitLocker がオンになっているときにデータを格納するために使用されるドライブのその部分のみを暗号化することを必須にするには、[使用済み領域のみ暗号化] を選択します。

注意

ボリュームを縮小または拡張しているときに、BitLocker ドライバーが現在の暗号化方法を使用している場合、このポリシーは無視されます。 たとえば、使用済み領域のみ暗号化を使用しているドライブが展開されている場合、完全暗号化を使用しているドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対してアクションは実行されません。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

オペレーティング システム ドライブにドライブ暗号化の種類を適用する

このポリシーは、オペレーティング システム ドライブが完全暗号化または使用済み領域のみの暗号化を使用するかどうかを制御します。 また、このポリシーを設定すると、BitLocker セットアップ ウィザードで暗号化オプション ページがスキップされるため、暗号化の選択はユーザーに表示されません。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker で使用される暗号化の種類を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードには表示されません。
無効または未構成の場合 BitLocker セットアップ ウィザードでは、BitLocker を有効にする前に、暗号化の種類を選択するようにユーザーに求められます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。 ドライブが既に暗号化されているか、暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 BitLocker がオンになっているときにドライブ全体が暗号化されるようにするには、[完全暗号化] を選択します。 BitLocker がオンになっているときにデータを格納するために使用されるドライブのその部分のみを暗号化することを必須にするには、[使用済み領域のみ暗号化] を選択します。

注意

このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。 たとえば、使用済み領域のみ暗号化を使用しているドライブが展開された場合、完全暗号化を使用するドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対してアクションは実行されません。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

リムーバブル データ ドライブにドライブ暗号化の種類を適用する

このポリシーは、固定データ ドライブで完全暗号化と使用済み領域のみの暗号化のどちらを使用するかを制御します。 また、このポリシーを設定すると、BitLocker セットアップ ウィザードで暗号化オプション ページがスキップされるため、暗号化の選択はユーザーに表示されません。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker で使用される暗号化の種類を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 なし
有効になっている場合 BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードには表示されません。
無効または未構成の場合 BitLocker セットアップ ウィザードでは、BitLocker を有効にする前に、暗号化の種類を選択するようにユーザーに求められます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。 ドライブが既に暗号化されているか、暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 BitLocker がオンになっているときにドライブ全体が暗号化されるようにするには、[完全暗号化] を選択します。 BitLocker がオンになっているときにデータを格納するために使用されるドライブのその部分のみを暗号化することを必須にするには、[使用済み領域のみ暗号化] を選択します。

注意

このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。 たとえば、使用済み領域のみ暗号化を使用しているドライブが展開されている場合、完全暗号化を使用しているドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対してアクションは実行されません。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する

このポリシー設定は、オペレーティング システム ドライブの回復方法を構成するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されたオペレーティング システム ドライブを回復する方法を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。

データ復旧エージェントを使用する場合は、[ 組織の一意の識別子を指定する ] ポリシー設定を有効にする必要があります。
有効になっている場合 BitLocker で保護されたオペレーティング システム ドライブからデータを回復するためにユーザーが使用できるメソッドを制御できます。
無効または未構成の場合 BitLocker 回復では、既定の回復オプションがサポートされています。 既定では、データ復旧エージェントが許可され、復旧オプションはユーザー (回復パスワードと回復キーを含む) で指定でき、回復情報は AD DS にバックアップされません。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。

[ データ回復エージェントを許可する ] チェック ボックスは、BitLocker で保護されたオペレーティング システム ドライブでデータ復旧エージェントを使用できるかどうかを指定するために使用されます。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターにある公開キー ポリシーから追加する必要があります。

データ回復エージェントの追加の詳細については、 BitLocker の基本的な展開に関するページを参照してください。

[BitLocker 回復情報のユーザー ストレージを構成する] で、ユーザーが 48 桁の回復パスワードを生成できるかどうかを選択します。

ユーザーがドライブで BitLocker を有効にしたときに回復オプションを指定できないようにするには、 BitLocker セットアップ ウィザードで [回復オプションを省略する] を選択します。 つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。

[Active Directory Domain Servicesに BitLocker 回復情報を保存する] で、オペレーティング システム ドライブの Active Directory Domain Services (AD DS) に格納する BitLocker 回復情報を選択します。 [回復パスワードとキー パッケージを保存する] を選択した場合、BitLocker 回復パスワードとキー パッケージは AD DS に格納されます。 キー パッケージを格納すると、物理的に破損しているドライブからのデータの回復がサポートされます。 [回復パスワードのみを保存する] を選択した場合、回復パスワードのみが AD DS に格納されます。

コンピューターがドメインに接続 され、Ad DS への BitLocker 回復情報のバックアップが成功しない 限り、ユーザーが BitLocker を有効にできないようにする場合は、[回復情報がオペレーティング システム ドライブの AD DS に格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

注意

[ オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない ] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。

ユーザーが BitLocker で保護されたドライブを回復する方法を選択する (Windows Server 2008 および Windows Vista)

このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューターで BitLocker で保護されたドライブの回復方法を構成するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker セットアップ ウィザードで BitLocker 回復オプションを表示および指定できるかどうかを制御できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 Windows Server 2008 および Windows Vista を実行しているコンピューター上のオペレーティング システム ドライブと固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 このポリシー設定は、BitLocker によって暗号化されたデータを回復する管理方法を提供し、キー情報の不足によるデータ損失を防ぎます。 両方のユーザー回復オプションで [許可しない] オプションを選択した場合は、ポリシー エラーを防ぐために 、Active Directory Domain Services (Windows Server 2008 および Windows Vista) ポリシー設定で BitLocker 回復情報を保存する必要があります。
有効になっている場合 BitLocker の暗号化されたデータを回復するために、BitLocker セットアップ ウィザードがユーザーに表示するオプションを構成できます。
無効または未構成の場合 BitLocker セットアップ ウィザードでは、回復オプションを保存する方法をユーザーに提示します。

リファレンス

このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用されます。 このポリシー設定は、BitLocker を有効にするときに適用されます。

必要なスタートアップ キー情報がない場合、BitLocker で暗号化されたデータのロックを解除するには、2 つの回復オプションを使用できます。 ユーザーは、48 桁の数値回復パスワードを入力するか、256 ビットの回復キーを含む USB ドライブを挿入できます。

回復パスワードを USB ドライブに保存すると、48 桁の回復パスワードがテキスト ファイルとして保存され、256 ビットの回復キーが非表示ファイルとして保存されます。 回復パスワードをフォルダーに保存すると、48 桁の回復パスワードがテキスト ファイルとして保存されます。 回復パスワードを印刷すると、48 桁の回復パスワードが既定のプリンターに送信されます。 たとえば、48 桁の回復パスワードを許可しないと、ユーザーはフォルダーに回復情報を印刷または保存できなくなります。

重要

BitLocker のセットアップ中に TPM 初期化が実行された場合、TPM 所有者情報は BitLocker の回復情報と共に保存または印刷されます。 48 桁の回復パスワードは FIPS コンプライアンス モードでは使用できません。

重要

データ損失を防ぐには、BitLocker 暗号化キーを回復する方法が必要です。 両方の回復オプションを許可しない場合は、BitLocker 回復情報の AD DS へのバックアップを有効にする必要があります。 それ以外の場合は、ポリシー エラーが発生します。

Active Directory Domain Servicesに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)

このポリシー設定は、AD DS で BitLocker 回復情報のストレージを構成するために使用されます。 これにより、BitLocker によって暗号化されたデータを回復し、キー情報の不足によるデータ損失を防ぐ管理方法が提供されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker ドライブ暗号化の回復情報の AD DS バックアップを管理できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 Windows Server 2008 および Windows Vista を実行しているコンピューター上のオペレーティング システム ドライブと固定データ ドライブ。
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 なし
有効になっている場合 BitLocker の回復情報は、コンピューターに対して BitLocker が有効になっていると、自動的に AD DS にサイレント バックアップされます。
無効または未構成の場合 BitLocker の回復情報は AD DS にバックアップされません。

リファレンス

このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用されます。

このポリシー設定は、BitLocker を有効にするときに適用されます。

BitLocker の回復情報には、回復パスワードと一意の識別子データが含まれます。 BitLocker で保護されたドライブの暗号化キーを含むパッケージを含めることもできます。 このキー パッケージは、1 つ以上の回復パスワードによって保護されており、ディスクが破損または破損した場合に特殊な回復を実行するのに役立ちます。

[Ad DS への BitLocker バックアップが必要] を選択した場合、コンピューターがドメインに接続されていて、BitLocker 回復情報の AD DS へのバックアップが成功しない限り、BitLocker を有効にすることはできません。 このオプションは、BitLocker の回復が可能であることを確認するために既定で選択されています。

回復パスワードは、BitLocker で保護されたドライブへのアクセスをロック解除する 48 桁の番号です。 キー パッケージには、ドライブの BitLocker 暗号化キーが含まれています。これは、1 つ以上の回復パスワードによって保護されます。 キー パッケージは、ディスクが破損または破損している場合に特殊な回復を実行するのに役立つ場合があります。

[ Ad DS への BitLocker バックアップを要求する ] オプションが選択されていない場合、AD DS のバックアップは試行されますが、ネットワークまたはその他のバックアップエラーでは BitLocker のセットアップが妨げられます。 バックアップ プロセスは自動的に再試行されず、BitLocker のセットアップ中に回復パスワードが AD DS に保存されない可能性があります。 BitLocker のセットアップ中に TPM の初期化が必要になる場合があります。 TPM 情報も確実にバックアップされるようにするにはコンピューター構成\管理用テンプレート\System\Trusted Platform Module Services で[TPM バックアップをActive Directory Domain Servicesする] ポリシー設定を有効にします。

この設定の詳細については、「TPM グループ ポリシー設定」を参照してください。

回復パスワードの既定のフォルダーを選択する

このポリシー設定は、回復パスワードの既定のフォルダーを構成するために使用されます。

 
ポリシーの説明 このポリシー設定では、BitLocker セットアップ ウィザードで、回復パスワードを保存するフォルダーの場所の入力をユーザーに求めるメッセージが表示されたときに表示される既定のパスを指定できます。
導入 Windows Vista
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 なし
有効になっている場合 ユーザーが回復パスワードをフォルダーに保存するオプションを選択したときに、既定のフォルダーの場所として使用されるパスを指定できます。 完全修飾パスを指定するか、ターゲット コンピューターの環境変数をパスに含めることができます。 パスが無効な場合は、BitLocker セットアップ ウィザードにコンピューターの最上位フォルダー ビューが表示されます。
無効または未構成の場合 BitLocker セットアップ ウィザードでは、ユーザーが回復パスワードをフォルダーに保存するオプションを選択すると、コンピューターの最上位フォルダー ビューが表示されます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。

注意

このポリシー設定では、ユーザーが別のフォルダーに回復パスワードを保存することはできません。

BitLocker で保護された固定ドライブを回復する方法を選択する

このポリシー設定は、固定データ ドライブの回復方法を構成するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護された固定データ ドライブを回復する方法を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ
競合 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。

データ復旧エージェントを使用する場合は、[ 組織の一意の識別子を指定する] ポリシー設定を有効にして構成する必要があります。
有効になっている場合 BitLocker で保護された固定データ ドライブからデータを回復するためにユーザーが使用できるメソッドを制御できます。
無効または未構成の場合 BitLocker 回復では、既定の回復オプションがサポートされています。 既定では、データ復旧エージェントが許可され、復旧オプションはユーザー (回復パスワードと回復キーを含む) で指定でき、回復情報は AD DS にバックアップされません。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。

[ データ復旧エージェントを許可する ] チェック ボックスは、BitLocker で保護された固定データ ドライブでデータ復旧エージェントを使用できるかどうかを指定するために使用されます。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターにある公開キー ポリシーから追加する必要があります。

[BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードまたは 256 ビットの回復キーを生成できるかどうかを選択します。

ユーザーがドライブで BitLocker を有効にしたときに回復オプションを指定できないようにするには、 BitLocker セットアップ ウィザードで [回復オプションを省略する] を選択します。 つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。

[Active Directory Domain Servicesに BitLocker 回復情報を保存する] で、固定データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。 バックアップ回復パスワードとキー パッケージを選択した場合、BitLocker 回復パスワードとキー パッケージは AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの回復がサポートされます。 このデータを回復するには、コマンド ライン ツールを Repair-bde 使用します。 [バックアップ回復パスワードのみ] を選択した場合、回復パスワードのみが AD DS に格納されます。

BitLocker 修復ツールの詳細については、「 Repair-bde」を参照してください。

コンピューターがドメインに接続 されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない 限り、ユーザーが BitLocker を有効にできないようにする場合は、[回復情報が AD DS に保存されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

注意

[ 固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない ] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。

BitLocker で保護されたリムーバブル ドライブを回復する方法を選択する

このポリシー設定は、リムーバブル データ ドライブの回復方法を構成するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されたリムーバブル データ ドライブを回復する方法を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。

データ復旧エージェントを使用する場合は、[ 組織の一意の識別子を指定する] ポリシー設定を有効にして構成する必要があります。
有効になっている場合 BitLocker で保護されたリムーバブル データ ドライブからデータを回復するためにユーザーが使用できるメソッドを制御できます。
無効または未構成の場合 BitLocker 回復では、既定の回復オプションがサポートされています。 既定では、データ復旧エージェントが許可され、復旧オプションはユーザー (回復パスワードと回復キーを含む) で指定でき、回復情報は AD DS にバックアップされません。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。

[ データ回復エージェントを許可する ] チェック ボックスを使用して、BitLocker で保護されたリムーバブル データ ドライブでデータ復旧エージェントを使用できるかどうかを指定します。 データ復旧エージェントを使用するには、GPMC またはローカル グループ ポリシー エディターを使用してアクセスする公開キー ポリシーから追加する必要があります。

[BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードを生成できるかどうかを選択します。

ユーザーがドライブで BitLocker を有効にしたときに回復オプションを指定できないようにするには、 BitLocker セットアップ ウィザードで [回復オプションを省略する] を選択します。 つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。

[Active Directory Domain Servicesに BitLocker 回復情報を保存する] で、リムーバブル データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。 バックアップ回復パスワードとキー パッケージを選択した場合、BitLocker 回復パスワードとキー パッケージは AD DS に格納されます。 [バックアップ回復パスワードのみ] を選択した場合、回復パスワードのみが AD DS に格納されます。

コンピューターがドメインに接続 されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない 限り、ユーザーが BitLocker を有効にできないようにする場合は、[回復情報が AD DS に格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

注意

[ 固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない ] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。

起動前の回復メッセージと URL を構成する

このポリシー設定は、回復メッセージ全体を構成し、オペレーティング システム ドライブがロックされているときに起動前の回復画面に表示される既存の URL を置き換えるために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、カスタマイズされたメッセージと URL を表示するように BitLocker 回復画面を構成できます。
導入 Windows
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成 \ 管理用テンプレート \ Windows コンポーネント \ BitLocker ドライブ暗号化 \ オペレーティング システム ドライブ \ 起動前の回復メッセージと URL を構成する
競合 なし
有効になっている場合 カスタマイズされたメッセージと URL が、起動前の回復画面に表示されます。 カスタムの回復メッセージと URL を以前に有効にし、既定のメッセージと URL に戻す場合は、ポリシー設定を有効にしたまま、[ 既定の回復メッセージと URL を使用 する] オプションを選択する必要があります。
無効または未構成の場合 設定が以前に有効になっていない場合は、BitLocker 回復の既定の起動前の回復画面が表示されます。 以前に設定が有効になっていて、後で無効になっている場合は、ブート構成データ (BCD) の最後のメッセージが既定の回復メッセージかカスタム メッセージかを表示します。

リファレンス

[起動前の回復メッセージと URL の構成] ポリシー設定を有効にすると、既定の回復画面のメッセージと URL をカスタマイズして、お客様のキーの回復を支援できます。

設定を有効にすると、次の 3 つのオプションがあります。

  • [既定の回復メッセージと URL を使用する] オプションを選択すると、既定の BitLocker 回復メッセージと URL が起動前の回復画面に表示されます。
  • [ カスタム回復メッセージの使用 ] オプションを選択した場合は、[カスタム回復メッセージ] オプションテキスト ボックスに カスタム メッセージを 入力します。 [カスタム回復メッセージ] オプション テキスト ボックスに入力したメッセージが、起動前の回復画面に表示されます。 回復 URL が使用可能な場合は、メッセージに含めます。
  • [ カスタム回復 URL の使用 ] オプションを選択した場合は、[カスタム回復 URL ] オプション テキスト ボックスにカスタム メッセージ URL を入力します。 [カスタム回復 URL] オプション テキスト ボックスに入力した URL は、既定の回復メッセージの既定の URL に置き換えられます。これは、起動前の回復画面に表示されます。

重要

すべての文字と言語がプレブート環境でサポートされているわけではありません。 起動前の回復画面で、カスタム メッセージと URL に使用する文字の正しい外観を確認することを強くお勧めします。

重要

グループ ポリシー設定を設定する前に BCDEdit コマンドを手動で変更できるため、このポリシー設定を構成した後に [未構成] オプションを選択すると、ポリシー設定を既定の設定に戻すことはできません。 既定の起動前回復画面に戻るには、ポリシー設定を有効のままにし、[起動前の回復メッセージのオプションの選択] ボックスの一覧から [既定のメッセージを使用する] オプションを選択します。

セキュリティで保護されたブートを許可して整合性の検証を行う

このポリシーは、Secure Boot 機能を使用して BitLocker 対応システム ボリュームを処理する方法を制御します。 この機能を有効にすると、ブート プロセス中にセキュア ブート検証が強制され、セキュア ブート ポリシーに従ってブート構成データ (BCD) の設定が検証されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker オペレーティング システム ドライブのプラットフォーム整合性プロバイダーとしてセキュア ブートを許可するかどうかを構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 整合性検証のためにセキュア ブートを許可するを有効にする場合は、ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成するグループ ポリシー設定が有効になっていないか、または BitLocker がプラットフォームまたは BCD 整合性検証に Secure Boot を使用できるように PCR 7 が含まれていることを確認します。

PCR 7 の詳細については、この記事の 「プラットフォーム構成レジスタ (PCR)」を 参照してください。

有効または未構成の場合 プラットフォームがセキュア ブート ベースの整合性検証に対応している場合、BitLocker はプラットフォームの整合性に Secure Boot を使用します。
無効にした場合 BitLocker では、Secure Boot ベースの整合性検証が可能なシステムでも、従来のプラットフォーム整合性検証が使用されます。

リファレンス

セキュア ブートにより、コンピューターのプレブート環境で、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。 また、セキュリティで保護されたブートは、Windows Server 2012およびWindows 8の前に BitLocker 整合性チェックよりも、起動前の構成を管理するための柔軟性を提供し始めました。 このポリシーが有効になっていて、ハードウェアが BitLocker シナリオでセキュリティで保護されたブートを使用できる場合、[ 拡張ブート構成データの検証プロファイル の使用] ポリシー設定は無視され、セキュリティで保護されたブート ポリシー設定に従って BCD 設定が検証されます。これは、BitLocker とは別に構成されます。

警告

このポリシーを無効にすると、製造元固有のファームウェアが更新されたときに BitLocker の回復が発生する可能性があります。 このポリシーを無効にする場合は、ファームウェアの更新プログラムを適用する前に BitLocker を中断します。

組織の一意の識別子を指定する

このポリシー設定は、組織内で暗号化されているすべてのドライブに適用される識別子を確立するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker で有効になっている新しいドライブに一意の組織識別子を関連付けることができます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 BitLocker で保護されたドライブで証明書ベースのデータ復旧エージェントを管理するには、識別フィールドが必要です。 BitLocker は、識別フィールドがドライブに存在し、コンピューターに構成されている値と同じ場合にのみ、証明書ベースのデータ復旧エージェントを管理および更新します。
有効になっている場合 BitLocker で保護されたドライブの識別フィールドと、組織で使用される任意の許可された識別フィールドを構成できます。
無効または未構成の場合 識別フィールドは必須ではありません。

リファレンス

これらの識別子は、識別フィールドと許可された識別フィールドとして格納されます。 識別フィールドを使用すると、一意の組織識別子を BitLocker で保護されたドライブに関連付けることができます。 この識別子は、新しい BitLocker で保護されたドライブに自動的に追加され、 Manage-bde コマンド ライン ツールを使用して、既存の BitLocker で保護されたドライブで更新できます。

BitLocker で保護されたドライブ上の証明書ベースのデータ回復エージェントを管理し、BitLocker To Go Reader の潜在的な更新プログラムを管理するには、識別フィールドが必要です。 BitLocker は、ドライブ上の識別フィールドが識別フィールドで構成されている値と一致する場合にのみ、データ回復エージェントを管理および更新します。 同様に、BitLocker は、ドライブ上の識別フィールドの値が識別フィールド用に構成された値と一致する場合にのみ、BitLocker To Go Reader を更新します。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

許可された識別フィールドは、組織内のリムーバブル ドライブの使用を制御するために、 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否 するポリシー設定と組み合わせて使用されます。 組織または外部組織の識別フィールドのコンマ区切りリストです。

Manage-bde コマンド ライン ツールを使用して、既存のドライブの識別フィールドを構成できます。

BitLocker で保護されたドライブが別の BitLocker 対応コンピューターにマウントされている場合は、識別フィールドと許可された識別フィールドを使用して、ドライブが外部組織からのドライブであるかどうかを判断します。

識別フィールドと許可される識別フィールドには、コンマで区切られた複数の値を入力できます。 識別フィールドには、最大 260 文字の任意の値を指定できます。

再起動時にメモリの上書きを防止する

このポリシー設定は、次回コンピューターを再起動するときに、コンピューターのメモリを上書きするかどうかを制御するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker シークレットを公開するリスクがあるコンピューターの再起動パフォーマンスを制御できます。
導入 Windows Vista
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化
競合 なし
有効になっている場合 コンピューターは、再起動時にメモリを上書きしません。 メモリの上書きを防止すると、再起動のパフォーマンスが向上することがありますが、BitLocker シークレットを公開するリスクが高くなります。
無効または未構成の場合 BitLocker シークレットは、コンピューターの再起動時にメモリから削除されます。

リファレンス

このポリシー設定は、BitLocker を有効にするときに適用されます。 BitLocker シークレットには、データの暗号化に使用されるキーマテリアルが含まれます。 このポリシー設定は、BitLocker 保護が有効になっている場合にのみ適用されます。

BIOS ベースのファームウェア構成用の TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、BIOS 構成または互換性サポート モジュール (CSM) が有効になっている UEFI ファームウェアを使用してコンピューター上のオペレーティング システム ドライブのロックを解除する前に、TPM が早期ブート コンポーネントを検証するときに測定する値を決定します。

 
ポリシーの説明 このポリシー設定を使用すると、コンピューターの TPM セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効な間にこれらのコンポーネントのいずれかが変更された場合、TPM は暗号化キーを解放してドライブのロックを解除しません。 代わりに、コンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーを指定する必要があります。
無効または未構成の場合 TPM では、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルが使用されます。

リファレンス

コンピューターに互換性のある TPM がない場合、または BitLocker が TPM 保護で既に有効になっている場合、このポリシー設定は適用されません。

重要

このグループ ポリシー設定は、BIOS 構成のコンピューター、または CSM が有効な UEFI ファームウェアを持つコンピューターにのみ適用されます。 ネイティブ UEFI ファームウェア構成を使用するコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。 ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルの構成グループ ポリシー設定を使用して、ネイティブ UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成します。

プラットフォーム検証プロファイルは、0 から 23 までの一連の PCR インデックスで構成されます。 既定のプラットフォーム検証プロファイルは、次の変更に対して暗号化キーをセキュリティで保護します。

  • 測定のコア ルート (CRTM)、BIOS、およびプラットフォーム拡張機能 (PCR 0)
  • オプション ROM コード (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)
  • NTFS ブート セクター (PCR 8)
  • NTFS ブート ブロック (PCR 9)
  • Boot Manager (PCR 10)
  • BitLocker Access Control (PCR 11)

注意

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の機密性は、PCR の包含または除外 (それぞれ) に応じて増減されます。

次の一覧は、使用可能なすべての PCR を識別します。

  • PCR 0: 測定、BIOS、およびプラットフォーム拡張機能のコア信頼ルート
  • PCR 1: プラットフォームとマザーボードの構成とデータ。
  • PCR 2: オプションの ROM コード
  • PCR 3: オプションの ROM データと構成
  • PCR 4: マスター ブート レコード (MBR) コード
  • PCR 5: マスター ブート レコード (MBR) パーティション テーブル
  • PCR 6: 状態遷移イベントとウェイク イベント
  • PCR 7: コンピューターの製造元固有
  • PCR 8: NTFS ブート セクター
  • PCR 9: NTFS ブート ブロック
  • PCR 10: ブート マネージャー
  • PCR 11: BitLocker アクセス制御
  • PCR 12-23: 今後の使用のために予約済み

TPM プラットフォーム検証プロファイルを構成する (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2)

このポリシー設定は、Windows Vista、Windows Server 2008、または Windows 7 を実行しているコンピューターでドライブのロックを解除する前に、TPM が早期ブート コンポーネントを検証するときに測定する値を決定します。

 
ポリシーの説明 このポリシー設定を使用すると、コンピューターの TPM セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するために暗号化キーを解放しません。 代わりに、コンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーを指定する必要があります。
無効または未構成の場合 TPM では、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルが使用されます。

リファレンス

コンピューターに互換性のある TPM がない場合、または BitLocker が TPM 保護で既に有効になっている場合、このポリシー設定は適用されません。

プラットフォーム検証プロファイルは、0 から 23 までの一連の PCR インデックスで構成されます。 既定のプラットフォーム検証プロファイルは、次の変更に対して暗号化キーをセキュリティで保護します。

  • 測定のコア ルート (CRTM)、BIOS、およびプラットフォーム拡張機能 (PCR 0)
  • オプション ROM コード (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)
  • NTFS ブート セクター (PCR 8)
  • NTFS ブート ブロック (PCR 9)
  • Boot Manager (PCR 10)
  • BitLocker Access Control (PCR 11)

注意

拡張可能ファームウェア インターフェイス (EFI) を使用するコンピューターの既定の TPM 検証プロファイルの PCR 設定は、PCR 0、2、4、および 11 のみです。

次の一覧は、使用可能なすべての PCR を識別します。

  • PCR 0: 測定、EFI ブートサービスとランタイム サービス、システム ROM に埋め込まれた EFI ドライバー、ACPI 静的テーブル、埋め込み SMM コード、BIOS コードのコア ルートオブトラスト
  • PCR 1: プラットフォームとマザーボードの構成とデータ。 システム構成に影響を与えるハンドオフ テーブルと EFI 変数
  • PCR 2: オプションの ROM コード
  • PCR 3: オプションの ROM データと構成
  • PCR 4: マスター ブート レコード (MBR) コードまたは他のブート デバイスからのコード
  • PCR 5: マスター ブート レコード (MBR) パーティション テーブル。 さまざまな EFI 変数と GPT テーブル
  • PCR 6: 状態遷移イベントとウェイク イベント
  • PCR 7: コンピューターの製造元固有
  • PCR 8: NTFS ブート セクター
  • PCR 9: NTFS ブート ブロック
  • PCR 10: ブート マネージャー
  • PCR 11: BitLocker アクセス制御
  • PCR 12 - 23: 今後の使用のために予約済み

警告

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の機密性は、PCR の包含または除外 (それぞれ) に応じて増減されます。

ネイティブ UEFI ファームウェア構成用の TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、ネイティブ UEFI ファームウェア構成を使用してコンピューター上のオペレーティング システム ドライブのロックを解除する前に、TPM が早期ブート コンポーネントを検証するときに測定する値を決定します。

 
ポリシーの説明 このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 このポリシーを PCR 7 を省略して設定すると、セキュリティで保護されたブートの整合性検証グループ ポリシー設定がオーバーライドされ、BitLocker でプラットフォームまたはブート構成データ (BCD) の整合性検証に Secure Boot を使用できなくなります。

プラットフォームの整合性チェックに TPM とセキュア ブートを使用する環境の場合、このポリシーが構成されます。

PCR 7 の詳細については、この記事の 「プラットフォーム構成レジスタ (PCR)」を 参照してください。

有効になっている場合 BitLocker を有効にする前に、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するために暗号化キーを解放しません。 代わりに、コンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーを指定する必要があります。
無効または未構成の場合 BitLocker では、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルが使用されます。

リファレンス

コンピューターに互換性のある TPM がない場合、または BitLocker が TPM 保護で既に有効になっている場合、このポリシー設定は適用されません。

重要

このグループ ポリシー設定は、ネイティブの UEFI ファームウェア構成を持つコンピューターにのみ適用されます。 互換性サポート モジュール (CSM) が有効になっている BIOS または UEFI ファームウェアを持つコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。 BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルの構成グループ ポリシー設定を使用して、BIOS 構成を持つコンピューターまたは CSM が有効な UEFI ファームウェアを持つコンピューター用の TPM PCR プロファイルを構成します。

プラットフォーム検証プロファイルは、0 から 23 までの一連の PCR インデックスで構成されます。 既定のプラットフォーム検証プロファイルは、コア システム ファームウェア実行可能コード (PCR 0)、拡張実行可能コード (PCR 2)、ブート マネージャー (PCR 4)、および BitLocker アクセス制御 (PCR 11) の変更に対して暗号化キーをセキュリティで保護します。

次の一覧は、使用可能なすべての PCR を識別します。

  • PCR 0: Core System Firmware 実行可能コード

  • PCR 1: コア システム ファームウェア データ

  • PCR 2: 拡張またはプラグ可能な実行可能コード

  • PCR 3: 拡張またはプラグ可能なファームウェア データ

  • PCR 4: ブート マネージャー

  • PCR 5: GPT/パーティション テーブル

  • PCR 6: S4 および S5 Power State イベントから再開する

  • PCR 7: セキュア ブート状態

    この PCR の詳細については、この記事の 「プラットフォーム構成レジスタ (PCR)」を 参照してください。

  • PCR 8: 拡張なしで 0 に初期化 (将来使用するために予約済み)

  • PCR 9: 拡張なしで 0 に初期化 (将来使用するために予約済み)

  • PCR 10: 拡張なしで 0 に初期化 (将来使用するために予約済み)

  • PCR 11: BitLocker アクセス制御

  • PCR 12: データ イベントと揮発性の高いイベント

  • PCR 13: ブート モジュールの詳細

  • PCR 14: ブート権限

  • PCR 15 – 23: 今後の使用のために予約済み

警告

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の機密性は、PCR の包含または除外 (それぞれ) に応じて増減されます。

BitLocker 回復後にプラットフォーム検証データをリセットする

このポリシー設定は、BitLocker の回復後に Windows が開始されたときにプラットフォーム検証データを更新するかどうかを決定します。 プラットフォーム検証データ プロファイルは、0 から 23 までの一連のプラットフォーム構成レジスタ (PCR) インデックスの値で構成されます。

 
ポリシーの説明 このポリシー設定を使用すると、BitLocker の回復後に Windows が開始されたときにプラットフォーム検証データを更新するかどうかを制御できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker の復旧後に Windows が起動すると、プラットフォーム検証データが更新されます。
無効にした場合 BitLocker の復旧後に Windows が開始されると、プラットフォーム検証データは更新されません。
構成されていない場合 BitLocker の復旧後に Windows が起動すると、プラットフォーム検証データが更新されます。

リファレンス

回復プロセスの詳細については、 BitLocker 回復ガイドを参照してください。

拡張ブート構成データ検証プロファイルを使用する

このポリシー設定は、プラットフォームの検証中に検証する特定のブート構成データ (BCD) 設定を決定します。 プラットフォーム検証では、プラットフォーム検証プロファイル内のデータが使用されます。これは、プラットフォーム構成レジスタ (PCR) インデックスのセットで構成され、0 から 23 の範囲です。

 
ポリシーの説明 このポリシー設定では、プラットフォームの検証中に検証するブート構成データ (BCD) 設定を指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブ
競合 BitLocker がプラットフォームとブート構成データの整合性検証に Secure Boot を使用している場合、[拡張ブート構成データ検証プロファイルを使用する] グループ ポリシー設定は無視されます (セキュリティで保護されたブートの整合性検証グループ ポリシー設定で定義されています)。
有効になっている場合 追加の BCD 設定を追加したり、指定した BCD 設定を除外したり、包含リストと除外リストを組み合わせてカスタマイズされた BCD 検証プロファイルを作成したりして、それらの BCD 設定を検証できます。
無効にした場合 コンピューターは、Windows 7 で使用される既定の BCD プロファイルと同様に BCD プロファイルの検証に戻ります。
構成されていない場合 コンピューターは、Windows の既定の BCD 設定を確認します。

リファレンス

注意

ブート デバッグ (0x16000010) を制御する設定は常に検証され、包含リストまたは除外リストに含まれている場合は無効です。

以前のバージョンの Windows から BitLocker で保護された固定データ ドライブへのアクセスを許可する

このポリシー設定は、BitLocker To Go Reader を使用してドライブへのアクセスを許可するかどうか、および BitLocker To Go Reader をドライブにインストールできるかどうかを制御するために使用されます。

 
ポリシーの説明 このポリシー設定を使用すると、FAT ファイル システムでフォーマットされた固定データ ドライブをロック解除して、Windows Vista、Windows XP with Service Pack 3 (SP3)、または Service Pack 2 を使用した Windows XP (SP2) を実行しているコンピューターでロックを解除して表示できるかどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ
競合 なし
有効な場合と構成されていない場合 FAT ファイル システムでフォーマットされた固定データ ドライブは、Windows Server 2008、Windows Vista、SP3 を使用した Windows XP、または SP2 を使用した Windows XP を実行しているコンピューターでロックを解除でき、そのコンテンツを表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブへの読み取り専用アクセス権があります。
無効にした場合 FAT ファイル システムでフォーマットされ、BitLocker で保護されている固定データ ドライブは、Windows Vista、SP3 を使用した Windows XP、または SP2 を使用する Windows XP を実行しているコンピューターではロックを解除できません。 BitLocker To Go Reader (bitlockertogo.exe) がインストールされていません。

リファレンス

注意

このポリシー設定は、NTFS ファイル システムでフォーマットされたドライブには適用されません。

このポリシー設定が有効になっている場合は、 ユーザーが固定ドライブから BitLocker To Go Reader を実行できないようにするために、[BITLocker To Go Reader を FAT 形式の固定ドライブにインストールしない ] チェック ボックスをオンにします。 識別フィールドが指定されていないドライブに BitLocker To Go Reader (bitlockertogo.exe) が存在する場合、またはドライブに組織のポリシー設定の [ 一意の識別子を提供 する] ポリシー設定で指定されているのと同じ識別フィールドがある場合、ユーザーに BitLocker の更新を求めるメッセージが表示され、BitLocker To Go Reader がドライブから削除されます。 この状況で、Windows Vista、SP3 を使用した Windows XP、または SP2 を使用する Windows XP を実行しているコンピューターで固定ドライブのロックを解除するには、BitLocker To Go Reader をコンピューターにインストールする必要があります。 このチェック ボックスがオンになっていない場合は、固定ドライブに BitLocker To Go Reader がインストールされ、Windows Vista を実行しているコンピューター、SP3 を使用した Windows XP、または SP2 を使用した Windows XP でドライブのロックを解除できるようになります。

以前のバージョンの Windows から BitLocker で保護されたリムーバブル データ ドライブへのアクセスを許可する

このポリシー設定では、BitLocker To Go Reader を使用しているリムーバブル データ ドライブへのアクセスと、BitLocker To Go Reader をドライブにインストールできるかどうかを制御します。

 
ポリシーの説明 このポリシー設定を使用すると、FAT ファイル システムでフォーマットされたリムーバブル データ ドライブをロック解除して、Windows Vista、SP3 を使用した Windows XP、または SP2 を使用した Windows XP を実行しているコンピューターで表示できるかどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ
競合 なし
有効な場合と構成されていない場合 FAT ファイル システムでフォーマットされたリムーバブル データ ドライブは、Windows Vista、SP3 を使用した Windows XP、または SP2 を使用した Windows XP を実行しているコンピューターでロックを解除でき、そのコンテンツを表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブへの読み取り専用アクセス権があります。
無効にした場合 BitLocker で保護された FAT ファイル システムでフォーマットされたリムーバブル データ ドライブは、Windows Vista、SP3 を使用した Windows XP、または SP2 を使用する Windows XP を実行しているコンピューターではロックを解除できません。 BitLocker To Go Reader (bitlockertogo.exe) がインストールされていません。

リファレンス

注意

このポリシー設定は、NTFS ファイル システムでフォーマットされたドライブには適用されません。

このポリシー設定が有効になっている場合は、ユーザーがリムーバブル ドライブから BitLocker To Go Reader を実行できないようにするために、[BITLocker To Go Reader を FAT 形式のリムーバブル ドライブにインストールしない ] チェック ボックスをオンにします。 識別フィールドが指定されていないドライブに BitLocker To Go Reader (bitlockertogo.exe) が存在する場合、またはドライブに組織のポリシー設定の [ 一意の識別子を提供 する] ポリシー設定で指定した識別フィールドが同じ場合、ユーザーに BitLocker の更新を求めるメッセージが表示され、BitLocker To Go Reader がドライブから削除されます。 このような場合、Windows Vista、SP3 を使用した Windows XP、または SP2 を使用する Windows XP を実行しているコンピューターでリムーバブル ドライブのロックを解除するには、BitLocker To Go Reader をコンピューターにインストールする必要があります。 このチェック ボックスがオンになっていない場合、BitLocker To Go Reader がリムーバブル ドライブにインストールされ、ユーザーは Windows Vista、SP3 を搭載した Windows XP、または BitLocker To Go Reader がインストールされていない SP2 を実行しているコンピューターでドライブのロックを解除できるようになります。

FIPS 設定

FIPS コンプライアンス用に連邦情報処理標準 (FIPS) 設定を構成できます。 FIPS コンプライアンスの効果として、ユーザーは回復用またはキー保護機能として BitLocker パスワードを作成または保存できません。 回復キーの使用は許可されます。

 
ポリシーの説明
導入 WINDOWS Server 2003 と SP1
ドライブの種類 システム全体
ポリシーのパス ローカル ポリシー\セキュリティ オプション\システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する
競合 ターミナル サービスなどの一部のアプリケーションでは、すべてのオペレーティング システムで FIPS-140 がサポートされていません。
有効になっている場合 ユーザーは復旧パスワードを任意の場所に保存できません。 これには、AD DS とネットワーク フォルダーが含まれます。 また、WMI または BitLocker ドライブ暗号化セットアップ ウィザードを使用して回復パスワードを作成することはできません。
無効または未構成の場合 BitLocker 暗号化キーが生成されない

リファレンス

BitLocker に対して暗号化キーが生成される前に、このポリシーを有効にする必要があります。 このポリシーを有効にすると、BitLocker によって回復パスワードの作成または使用が禁止されるため、代わりに回復キーを使用する必要があります。

オプションの回復キーを USB ドライブに保存できます。 FIPS が有効になっていると、回復パスワードを AD DS に保存できないため、グループ ポリシーで AD DS のバックアップが必要な場合にエラーが発生します。

FIPS 設定を編集するには、セキュリティ ポリシー エディター (Secpol.msc) を使用するか、Windows レジストリを編集します。 これらの手順を実行するには、管理者である必要があります。

このポリシーの設定の詳細については、「 システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する」を参照してください。

電源管理グループのポリシー設定: スリープと休止状態

PC の既定の電源設定では、コンピューターがスリープ モードに頻繁に入り、アイドル時の電力を節約し、システムのバッテリ寿命を延ばすのに役立ちます。 コンピューターがスリープに移行すると、開いているプログラムとドキュメントがメモリに保持されます。 コンピューターがスリープから再開された場合、暗号化されたデータにアクセスするために PIN または USB スタートアップ キーを使用して再認証する必要はありません。 これにより、データ セキュリティが侵害される条件が発生する可能性があります。

ただし、コンピューターが休止状態になると、ドライブはロックされ、休止状態から再開するとドライブのロックが解除されます。つまり、BitLocker で多要素認証を使用する場合、ユーザーは PIN またはスタートアップ キーを指定する必要があります。 そのため、BitLocker を使用する組織では、セキュリティを向上させるためにスリープの代わりに休止状態を使用する必要がある場合があります。 この設定は TPM のみのモードには影響しません。これは、起動時と休止状態から再開するときに透過的なユーザー エクスペリエンスを提供するためです。

コンピューターの構成\管理用テンプレート\System\Power Management にある次のグループ ポリシー設定を無効にして、使用可能なすべてのスリープ状態を無効にすることができます。

  • スリープ時にスタンバイ状態を許可する (S1-S3) (プラグイン)
  • スリープ時にスタンバイ状態を許可する (S1-S3) (バッテリ)

プラットフォーム構成レジスタ (PCR) について

プラットフォーム検証プロファイルは、0 から 23 までの一連の PCR インデックスで構成されます。 値のスコープは、オペレーティング システムのバージョンに固有にすることができます。

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の機密性は、PCR の包含または除外 (それぞれ) に応じて増減されます。

PCR 7 について

PCR 7 は、セキュア ブートの状態を測定します。 PCR 7 では、BitLocker はセキュリティで保護されたブートを使用して整合性検証を行うことができます。 Secure Boot を使用すると、コンピューターのプレブート環境で、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。 PCR 7 測定値は、Secure Boot がオンかどうか、およびプラットフォーム上で信頼されているキーを示します。 Secure Boot がオンになっていて、ファームウェアが UEFI 仕様に従って正しく PCR 7 を測定する場合、BitLocker は PCR 0、2、および 4 ではなく、この情報にバインドできます。これは、正確なファームウェアと Bootmgr イメージの測定値が読み込まれます。 これにより、ファームウェアとイメージの更新の結果として BitLocker が復旧モードで開始される可能性が低くなり、プレブート構成を管理する柔軟性が向上します。

PCR 7 測定は、「 付録 A Trusted Execution Environment EFI Protocol」に記載されているガイダンスに従う必要があります。

PCR 7 測定は、Microsoft Surface RT などのモダン スタンバイ (Always On、Always Connected PC とも呼ばれます) をサポートするシステムでは必須のロゴ要件です。 このようなシステムでは、PCR 7 測定とセキュア ブートを使用する TPM が正しく構成されている場合、BitLocker は既定で PCR 7 と PCR 11 にバインドされます。

関連項目